Kako postupati s Ransomwareom Ragnar Locker (05.19.24)

Protu-malware

Ransomware je vrlo gadan zlonamjerni softver jer napadači zahtijevaju od žrtve da plati za svoje važne podatke koji će biti oslobođeni od taoca. Otkupljivač kradom zaražava žrtvin uređaj, šifrira važne podatke (uključujući sigurnosne kopije), a zatim ostavlja upute koliko otkupnine treba platiti i kako treba platiti. Nakon svih ovih gnjavaža, žrtva nema jamstva da će napadač stvarno otpustiti ključ za dešifriranje kako bi otključao datoteke. A ako ikada to učine, neke bi datoteke mogle biti oštećene, što bi ih na kraju učinilo beskorisnima.

Tijekom godina upotreba ransomwarea porasla je u popularnosti jer je to najizravniji način za zaradu novca hakera. Oni samo trebaju ispustiti zlonamjerni softver, a zatim pričekati da korisnik pošalje novac putem Bitcoina. Prema podacima Emsisofta, broj napada ransomwarea u 2019. povećao se za 41% u odnosu na prethodnu godinu, što je utjecalo na oko 1.000 američkih organizacija. Cybersecurity Ventures čak su predviđali da će ransomware napadati tvrtke svakih 11 sekundi.

Ranije ove godine, Ragnar Locker, novi soj zlonamjernog softvera, napao je portugalsku elektroenergetsku tvrtku Energias de Portugal (EDP) sa sjedištem u Lisabonu . Napadači su tražili 1.580 bitcoina kao otkupninu, što je približno 11 milijuna dolara.

Što je Ragnar Locker Ransomware?

Ragnar Locker vrsta je zlonamjernog softvera stvorena ne samo za šifriranje podataka, već i za ubijanje instaliranih aplikacija, poput ConnectWise i Kaseya, koje obično koriste davatelji upravljanih usluga i nekoliko Windows usluga. Ragnar Locker preimenuje šifrirane datoteke dodavanjem jedinstvenog nastavka koji se sastoji od riječi ragnar nakon čega slijedi niz slučajnih brojeva i znakova. Na primjer, datoteka s imenom A.jpg preimenovat će se u A.jpg.ragnar_0DE48AAB.

Nakon šifriranja datoteka, tada stvara poruku otkupnine pomoću tekstualne datoteke, u istom formatu imena kao i s gornjim primjerom. Otkupna poruka mogla bi se nazvati RGNR_0DE48AAB.txt.

Ovaj ransomware radi samo na Windows računalima, ali još nije sigurno jesu li autori ovog zlonamjernog softvera također dizajnirali Mac verziju Ragnar Lockera. Obično cilja procese i aplikacije koje uobičajeno koriste davatelji usluga kojima upravljaju da ne bi otkrili i zaustavili njihov napad. Ragnar Locker namijenjen je samo korisnicima koji govore engleski.

Ransomware Ragnar Locker prvi je put otkriven krajem prosinca 2019., kada je korišten u sklopu napada na ugrožene mreže. Prema sigurnosnim stručnjacima, napad Ragnar Locker na europskog energetskog diva bio je dobro promišljen i temeljito isplaniran napad.

Evo primjera poruke otkupnine Ragnar Locker:

Pozdrav *!

********************

Ako čitate ovu poruku, vaša je mreža PENETRIRANA i sve vaše datoteke a podatke je ŠIFRIRAO

RAGNAR_LOCKER!

********************

********* Što se događa s vašim sustavom? * ***********

Vaša mreža je probijena, sve su vaše datoteke i sigurnosne kopije zaključane! Dakle, od sada vam NITKO NE MOŽE POMOĆI da vratite datoteke, OSIM NAS.

Možete ga guglati, nema ŠANSE za dešifriranje podataka bez našeg TAJNOG KLJUČA.

Ali ne brinite! Vaše datoteke NISU OŠTEĆENE niti IZGUBLJENE, već SU SAMO MODIFICIRANE. Vratite ga čim platite.

Tražimo samo NOVAC, tako da ne postoji interes za čekanje ili brisanje vaših podataka, to je samo POSLOVNI $ -)

IAKO god možete sami oštetiti PODATKE ako pokušate DECIRIRATI bilo kojim drugim softverom, bez NAŠEG SPECIFIČNOG KLJUČA ZA ŠIFRIRANJE !!!

Također, prikupljeni su svi vaši osjetljivi i privatni podaci i ako odlučite NE plaćati,

prenijet ćemo ih na javni uvid!

****

*********** Kako vratiti datoteke? ******

Za dešifrirajte sve svoje datoteke i podatke koje morate platiti za šifriranje KLJUČ:

BTC novčanik za plaćanje: *

Iznos za plaćanje (u Bitcoinima): 25

****

*********** Koliko vremena morate platiti? **********

* Trebali biste stupiti u kontakt s nama u roku od 2 dana nakon što ste primijetili šifriranje kako biste postigli bolju cijenu.

* Ako se ne uspostavi kontakt, cijena bi se povećala za 100% (dvostruka cijena) nakon 14 dana.

* Ključ bi se u potpunosti izbrisao za 21 dan ako se ne uspostavi kontakt ili ne dogovori.

Neke smislene informacije ukradene s poslužitelja datoteka prenijet će se javno ili na preprodavač.

****

*********** Što ako se datoteke ne mogu vratiti? ******

Da bismo dokazali da zaista možemo dešifrirati vaše podatke, dešifrirat ćemo jednu od vaših zaključanih datoteka!

Samo nam ga pošaljite i vratit ćete ga BESPLATNO.

Cijena dekriptora temelji se na veličini mreže, broju zaposlenih, godišnjem prihodu.

Slobodno nas kontaktirajte za iznos BTC-a koji treba platiti.

****

! AKO ne znate kako doći do bitcoina, dat ćemo vam savjet kako zamijeniti novac.

!!!!!!!!!!!!!

! EVO JEDNOSTAVNOG PRIRUČNIKA KAKO DOĆI KONKATAT S NAMA!

!!!!!!!!!!!!!

1) Idite na službenu web stranicu TOX messenger-a (hxxps: //tox.chat/download.html)

2) Preuzmite i instalirajte qTOX na svoje računalo, odaberite platformu (Windows, OS X, Linux, itd.)

3) Otvorite messenger, kliknite “New Profile” i stvorite profil.

4) Kliknite gumb “Dodaj prijatelje” i pretražite naš kontakt *

5) Za identifikaciju pošaljite podatke za podršku s —RAGNARNA TAJNA—

VAŽNO ! AKO se iz nekih razloga NE MOŽETE KONTAKTIRATI s nama u qTOX-u, evo našeg rezervnog poštanskog sandučića (*) pošaljite poruku s podacima iz —RAGNARNA TAJNA—

UPOZORENJE!

-Ne pokušavajte dešifrirati datoteke bilo kojim softverom treće strane (trajno će biti oštećen)

-Ne instalirajte ponovo svoj OS, to može dovesti do potpunog gubitka podataka i datoteka ne može se dešifrirati. NIKAD!

-Vaš TAJNI KLJUČ za dešifriranje nalazi se na našem poslužitelju, ali neće biti zauvijek pohranjen. NE GUBI VRIJEME !

********************

—RAGNARNA TAJNA—

—RAGNAR TAJNA—

********************

Što radi ormarić Ragnar?

Ragnar Locker obično se isporučuje putem MSP alata kao što je ConnectWise, pri čemu cyber kriminalci ispuštaju visoko ciljanu izvršnu datoteku ransomware. Ovu tehniku širenja koristili su prethodni vrlo zlonamjerni ransomware, poput Sodinokibija. Kad se dogodi ova vrsta napada, autori ransomwarea infiltriraju se u organizacije ili objekte putem nesigurnih ili loše osiguranih RDP veza. Zatim koristi alate za slanje Powershell skripti na sve dostupne krajnje točke. Skripte zatim preuzimaju korisni teret putem Pastebina dizajniranog za izvršavanje ransomwarea i šifriranje krajnjih točaka. U nekim slučajevima, korisni teret dolazi u obliku izvršne datoteke koja se pokreće kao dio napada temeljenog na datoteci. Postoje i slučajevi kada se dodatne skripte preuzmu kao dio napada bez datoteka.

Ragnar Locker posebno cilja softver koji obično upravljaju pružatelji usluga, uključujući sljedeće nizove:

vss
sql
memtas
mepocs
sophos
veeam
backup
pulseway
logme
logmein
connectwise
splashtop
kaseya

Ransomware prvo ukrade ciljne datoteke i prenese ih na njihove poslužitelje. Jedinstveno u vezi s Ragnar Locker je da oni ne samo šifriraju datoteke, već i prijete žrtvi da će podaci biti objavljeni javno ako otkupnina nije plaćena, kao što je slučaj s EDP-om. EDP-om su napadači zaprijetili da će objaviti navodnih 10TB ukradenih podataka, što bi moglo biti jedno od najvećih curenja podataka u povijesti. Napadači su tvrdili da će svi partneri, klijenti i konkurenti biti obaviješteni o kršenju, a njihovi procuri podaci bit će poslani vijestima i medijima za javnu potrošnju. Iako je glasnogovornik EDP-a najavio da napad nije imao utjecaja na elektroenergetsku službu i infrastrukturu komunalne službe, prijeteće kršenje podataka nešto je zbog čega su zabrinuti.

Onemogućivanje usluga i završavanje procesa uobičajene su taktike koje zlonamjerni softver koristi za onemogućavanje sigurnosnih programa, sigurnosnih kopija, baza podataka i poslužitelja pošte. Nakon što se ovi programi ukinu, njihovi se podaci mogu šifrirati.

Kada se prvi put pokrene, Ragnar Locker skenirat će konfigurirane postavke jezika sustava Windows. Ako je jezična postavka engleski, zlonamjerni softver nastavit će se sa sljedećim korakom. Ali ako je Ragnar Locker otkrio da je jezik postavljen kao jedna od zemalja bivšeg SSSR-a, zlonamjerni softver će prekinuti postupak, a ne kriptiranjem računala.

Ragnar Locker ugrožava sigurnosne alate MSP-a prije nego što ga mogu blokirati ransomware od izvršenja. Jednom ušavši, zlonamjerni softver pokreće postupak šifriranja. Za šifriranje važnih datoteka koristi ugrađeni RSA-2048 ključ.

Ragnar Locker ne šifrira sve datoteke. Preskočit će neke mape, nazive datoteka i nastavke, kao što su:

kernel32.dll
Windows
Windows.old
Tor preglednik
Internet Explorer
Google
Opera
Opera softver
Mozilla
Mozilla Firefox
$ Recycle.Bin
ProgramData
Svi korisnici
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr .efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
.sys
.dll
.lnk
.msi
.drv
.exe

Osim dodavanja novo proširenje datoteke šifriranih datoteka, Ragnar Locker također dodaje oznaku datoteke 'RAGNAR' na kraj svake šifrirane datoteke.

Ragnar Locker zatim ispušta otkupnu poruku pod nazivom '.RGNR_ [proširenje] .txt' koja sadrži detalje o iznosu otkupnine, adresu za plaćanje bitcoina, ID TOX chata koji će se koristiti za komunikaciju s napadačima i rezervnu e-adresu ako postoje problemi s TOX-om. Za razliku od ostalih ransomware-a, Ragnar Locker nema fiksnu količinu otkupnine. Varira ovisno o cilju i izračunava se pojedinačno. U nekim izvješćima iznos otkupnine mogao bi varirati između 200 000 i 600 000 USD. U slučaju EDP-a, tražena otkupnina iznosila je 1.580 bitcoina ili 11 milijuna dolara.

Kako ukloniti Ragnar Locker

Ako je vaše računalo imalo sreću da je zaraženo Ragnar Lockerom, prvo što morate učiniti je provjeriti ako su sve vaše datoteke šifrirane. Također trebate provjeriti jesu li i vaše sigurnosne kopije datoteke šifrirane. Ovakvi napadi ističu važnost sigurnosne kopije važnih podataka jer barem nećete morati brinuti o gubitku pristupa datotekama.

Ne pokušavajte platiti otkupninu jer će biti beskorisna. Ne postoji jamstvo da će vam napadač poslati ispravan ključ za dešifriranje i da vaše datoteke nikada neće procuriti u javnost. Zapravo je vrlo moguće da će napadači i dalje iznuđivati novac od vas jer znaju da ste spremni platiti.

Ono što možete učiniti je prvo izbrisati ransomware s računala prije nego što pokušaju dešifrirati to. Možete koristiti antivirusnu ili anti-malware aplikaciju za skeniranje računala na zlonamjerni softver i slijedite upute za brisanje svih otkrivenih prijetnji. Zatim deinstalirajte sve sumnjive aplikacije ili proširenja koja bi mogla biti povezana sa zlonamjernim softverom.

Napokon, potražite alat za dešifriranje koji odgovara Ragnar Lockeru. Postoji nekoliko dešifrivača koji su dizajnirani za datoteke šifrirane ransomwareom, ali prvo biste trebali provjeriti proizvođača sigurnosnog softvera imaju li ga na raspolaganju. Na primjer, Avast i Kaspersky imaju vlastiti alat za dešifriranje koji korisnici mogu koristiti. Evo popisa drugih alata za dešifriranje koje možete isprobati.

Kako se zaštititi od Ragnar Lockera

Ransomware može biti prilično problematičan, pogotovo ako ne postoji postojeći alat za dešifriranje koji može poništiti šifriranje koje je izvršio zlonamjerni softver . Da biste zaštitili svoj uređaj od ransomwarea, posebno Ragnar Locker-a, evo nekoliko savjeta koje trebate imati na umu:

Primjenjujte jaka pravila zaporke, koristeći dvofaktorsku ili višefaktorsku autentifikaciju (MVP) ako je moguće. Ako to nije moguće, generirajte slučajne, jedinstvene lozinke koje će biti teško pogoditi.
Obavezno zaključajte računalo kad napuštate stol. Bez obzira idete li na ručak, napravite kratku pauzu ili samo idete u zahod, zaključajte računalo kako biste spriječili neovlašteni pristup.
Stvorite plan sigurnosne kopije podataka i oporavka, posebno za ključne informacije o vašem Računalo. Ako je moguće, pohranite najvažnije podatke pohranjene izvan mreže ili na vanjskom uređaju. Redovito testirajte ove sigurnosne kopije kako biste bili sigurni da ispravno funkcioniraju u slučaju stvarne krize.
Neka se vaši sustavi ažuriraju i instaliraju s najnovijim sigurnosnim zakrpama. Ransomware obično iskorištava ranjivosti u vašem sustavu, zato budite sigurni da je zaštita vašeg uređaja nepropusna.
Budite oprezni s uobičajenim vektorima za krađu identiteta, što je najčešća metoda distribucije ransomwarea. Ne klikajte nasumične veze i uvijek skenirajte privitke e-pošte prije nego što ih preuzmete na računalo.
Na uređaju instalirajte robusni sigurnosni softver i ažurirajte bazu podataka najnovijim prijetnjama.

Youtube video: Kako postupati s Ransomwareom Ragnar Locker

05, 2024

Kako postupati s Ransomwareom Ragnar Locker (05.19.24)

Youtube video: Kako postupati s Ransomwareom Ragnar Locker

Članci

Je li klijent Impact siguran za upotrebu u Minecraftu

5 načina za popravak broja prebrojavanja koji ne rade u WoW-u

Kako osigurati internetsku vezu

Što učiniti kada na vašem Macu dobijete pogrešku 60008

Što je Discord Virus

Najnoviji članci

Kako se vratiti izbrisane sistemske datoteke s MacOS-a

Nesloga se ne otkriva i ne radi sa World of Warcraftom: 3 popravka

Rješavanje problema MSVCR71.dll Nedostaje pogreška u sustavu Windows 10

Forge Mod Loader pronašao je problem s vašom instalacijom Minecrafta (3 načina za rješavanje)

Paku protiv Gonka u WoW-u: U čemu je razlika